我越来越暴力强行到我的电子邮件服务器,IMAP和POP3。 我已经安装了完整的ASL软件包,但它只是给我发送OSSEC日志。 我怎样才能禁止IP。
我想ASL在一些错误的尝试后自动阻止了这些攻击。 我怎样才能做到这一点。
如果你的内核最近支持iptables(大部分都是这样),那么类似下面的内容将在60秒内允许6个连接,然后从这个IP地址中删除连接。 而不是写一大堆规则阻止不同的IP,你可以这样做。
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
或者,如果它只是一个IP:
iptables -I INPUT -s 1.2.3.4/32 -j DROP
应该做一个快速和脏的IP下降
你必须在OSSEC上启用主动响应才能工作。 检查你的ossec.conf,看它是否在那里启用。
iptables解决scheme的问题是它没有应用知识,所以成功的login仍然可以被阻止。